Im Namen anderer Parteien Aufrufe der Anmeldedatenverwaltung für privilegierte Apps durchführen
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Privilegierte Apps wie Webbrowser können im Namen anderer vertrauender Parteien einen Aufruf des Anmeldedaten-Managers senden. Dazu legen Sie den Parameter origin in den Methoden GetCredentialRequest() und CreatePublicKeyCredentialRequest() des Anmeldedaten-Managers fest.
Der origin steht für die Anwendung oder Website, von der eine Anfrage stammt, und wird von Passkeys zum Schutz vor Phishingangriffen verwendet.
Die Server einer Anwendung müssen die Clientdaten origin mit einer Zulassungsliste genehmigter Apps und Websites vergleichen. Wenn der Server eine Anfrage von einer App oder Website erhält, die nicht erkannt wurde, sollte die Anfrage abgelehnt werden.
In diesem Dokument wird beschrieben, wie Sie den Ursprung für solche privilegierten Aufruf-Apps festlegen und prüfen, ob diese Apps Aufrufe im Namen anderer Parteien ausführen dürfen.
Ursprung der Anruf-App festlegen
Um Anmeldedaten im Namen einer anderen vertrauenden Partei abzurufen, muss der Anmeldedatenanbieter, der die Anmeldedaten bereitstellt, Ihre Anwendung einer Liste privilegierter Aufrufer hinzufügen, die einen solchen Zugriff erhalten dürfen. Verwenden Sie dann setOrigin() für createCredential()- und getCredential()-Anfragen, um den Wert origin festzulegen.
Bei privilegierten Anwendungen wie Webbrowsern, die Anmeldedaten von Dritten verarbeiten müssen, benötigt der Google Passwortmanager eine Genehmigung für die Verarbeitung dieser Anmeldedaten. Dadurch wird sichergestellt, dass nur vertrauenswürdige Anwendungen auf Nutzeranmeldedaten für externe Dienste zugreifen und diese verwalten können. Um für die Verarbeitung von Anmeldedaten von Drittanbietern zugelassen zu werden, füllen Sie das Antragsformular aus, um ein Ticket zu erstellen und Ihre Anfrage prüfen zu lassen.
Alle Inhalte und Codebeispiele auf dieser Seite unterliegen den Lizenzen wie im Abschnitt Inhaltslizenz beschrieben. Java und OpenJDK sind Marken oder eingetragene Marken von Oracle und/oder seinen Tochtergesellschaften.
Zuletzt aktualisiert: 2025-07-27 (UTC).
[null,null,["Zuletzt aktualisiert: 2025-07-27 (UTC)."],[],[],null,["# Make Credential Manager calls on behalf of other parties for privileged apps\n\nPrivileged apps such as web browsers can make a Credential Manager call on\nbehalf of other relying parties by setting the `origin` parameter in Credential\nManager's [`GetCredentialRequest()`](/reference/androidx/credentials/GetCredentialRequest#GetCredentialRequest(kotlin.collections.List,kotlin.String,kotlin.Boolean,android.content.ComponentName,kotlin.Boolean)) and\n[`CreatePublicKeyCredentialRequest()`](/reference/androidx/credentials/CreatePublicKeyCredentialRequest#CreatePublicKeyCredentialRequest(kotlin.String,kotlin.ByteArray,kotlin.Boolean,kotlin.String,kotlin.Boolean)) methods.\n\nThe [`origin`](https://www.w3.org/TR/webauthn-2/#dom-collectedclientdata-origin) represents the application or website that a\nrequest comes from, and is used by passkeys to protect against phishing attacks.\nAn app's servers are required to check the client data `origin` against an\nallowlist of approved apps and websites. If the server receives a request from\nan app or website from an unrecognized origin, the request should be rejected.\nThis document describes how to set the origin for such privileged calling apps,\nand how to verify such apps are allowed to make calls on behalf of other\nparties.\n\nSet the origin of the calling app\n---------------------------------\n\nTo get credentials on behalf of another relying party, the credential provider\nthat supplies the credentials must add your app to a list of privileged callers\nthat are allowed to get such access. Then, use [`setOrigin()`](/reference/android/credentials/GetCredentialRequest.Builder#setOrigin(java.lang.String)) on\n[`createCredential()`](/reference/kotlin/androidx/credentials/CredentialManager#createCredential(android.content.Context,androidx.credentials.CreateCredentialRequest)) and [`getCredential()`](/reference/kotlin/androidx/credentials/CredentialManager#getCredential(android.content.Context,androidx.credentials.PrepareGetCredentialResponse.PendingGetCredentialHandle)) requests to set the\n`origin` value.\n| **Note:** The `origin` parameter in the `createCredential()` and `getCredential()` methods is only effective in API levels 34 (Android 14) and higher.\n\nFor privileged apps such as web browsers that need to handle third party\ncredentials, Google Password Manager requires approval to handle those\ncredentials. This ensures that only trusted apps are able to access and manage\nuser credentials for external services. To be approved for handling third party\ncredentials, [complete the request form](https://docs.google.com/forms/d/e/1FAIpQLScRuk9tTg0QPfSWl9SbpbIorX8xx2FCXlmoUYftCX2MxG4qyg/viewform) to open a ticket and\nhave your request reviewed."]]
